專利名稱：網絡攻擊測試的方法和系統(tǒng)的制作方法
技術領域：
本發(fā)明涉及計算機網絡安全領域，特別是涉及一種網絡攻擊測試的方法 和系統(tǒng)。
背景技術：
目前，隨著Internet的日益普及，它已經滲透到日常生活的各個方面，由 此引入的網絡安全問題也日漸成為人們重點關注的問題。當前的網絡攻擊方 式呈現(xiàn)多樣化和復雜化的趨勢，使得基于Internet進行業(yè)務的機構和系統(tǒng)面臨 著前所未有的威脅，這些機構和系統(tǒng)一旦被攻擊成功，將造成巨大的經濟損 失。因此，在網絡設備或系統(tǒng)實際上線前，對其進行網絡攻擊測試，來評估 網絡設備或系統(tǒng)的安全系數(shù)，以防止網絡設備或系統(tǒng)當被攻擊報文進行攻擊 時由于安全系數(shù)低而癱瘓，即網絡攻擊測試是保證網絡設備或系統(tǒng)安全運行 的前提。
當前對網絡設備進行攻擊測試的主要方法是基于網絡攻擊方式的原理開 發(fā)出相應的網絡攻擊工具，攻擊者基于網絡攻擊工具對被測設備發(fā)送攻擊報 文以實現(xiàn)攻擊測試。其中，特別針對拒絕服務攻擊方式，這種攻擊方式需要 攻擊者向被測設備發(fā)送大量的攻擊報文才能夠完成攻擊測試。
但是，在現(xiàn)有技術中，當對被測設備進行拒絕服務攻擊測試時，只由作 為攻擊者的主機對被測設備發(fā)送攻擊報文，由于主機所發(fā)送的攻擊報文的壓 力有限，通常并不能夠達到足夠的攻擊報文壓力，因此，-也就影響了網絡攻 擊測試的質量。

發(fā)明內容
本發(fā)明的實施例提供了 一種網絡攻擊測試的方法和系統(tǒng)，以提高網絡攻 擊測試的質量。
本發(fā)明實施例公開了一種網絡攻擊測試的系統(tǒng)，包括主控端和多個代 理端，其中，所述主控端，用于創(chuàng)建測試命令，將所述測試命令發(fā)送給所述多個代理端，并對所述代理端發(fā)送的攻擊測試結果進行分析；所述多個代理 端，用于接收所述測試命令，根據(jù)所述測試命令向被測設備發(fā)攻擊報文以進 行攻擊測試，將攻擊測試結果發(fā)送給所述主控端。
本發(fā)明實施例還公開了一種網絡攻擊測試的方法，所述方法包括接收 主控端發(fā)送的測試命令；將所述測試命令解析為對被測設備的攻擊操作；根 據(jù)所述攻擊操作向被測設備發(fā)送攻擊報文以進行攻擊測試；將攻擊測試結果 發(fā)送給主控端，由所述主控端對所述攻擊測試結果進行分析。
通過上述方案，提供了一種網絡攻擊測試的系統(tǒng)，系統(tǒng)中的代理端取代 主控端而向被測設備發(fā)送攻擊報文，當多個代理端同時向被測設備發(fā)送攻擊 報文時，能夠達到足夠的攻擊報文壓力，進而提高了網絡攻擊測試的質量。


為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實 施例或現(xiàn)有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下 面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講， 在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實施例一揭示的一種網絡攻擊測試的系統(tǒng)的邏輯示意圖2為本發(fā)明實施例一中的主控端的結構圖3為本發(fā)明實施例一中的代理端的結構圖4為本發(fā)明專用組網模式測試邏輯組網示意圖5為本發(fā)明在線模式測試邏輯組網示意圖6為本發(fā)明實施例二揭示的一種網絡攻擊測試的方法的流程圖。
具體實施例方式
下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行 清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而 不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。
實施例一
5請參閱圖1,圖l為本發(fā)明實施例一揭示的一種網絡攻擊測試的系統(tǒng)的邏
輯示意圖，該系統(tǒng)包括主控端101和多個代理端102，其中，
所述主控端IOI,用于創(chuàng)建測試命令，將所述測試命令發(fā)送給所述代理端
102，并對所述代理端102發(fā)送的攻擊測試結果進行分析；
所述多個代理端102,用于接收所述主控端IOI發(fā)送的測試命令，根據(jù)所
述測試命令向被測設備發(fā)送攻擊報文，將攻擊測試結果發(fā)送給所述主控端
101。
請參閱圖2，圖2為本發(fā)明實施例一中主控端的結構圖，所述主控端101 包括測試命令開發(fā)單元201、代理管理單元202、測試命令發(fā)送單元203、 測試結果"t妄收單元204和測試結果分^f單元205,其中，
測試命令開發(fā)單元201，用于根據(jù)待實現(xiàn)的網絡測試方式的原理，開發(fā)與 所述待實現(xiàn)的網絡攻擊方式相對應的測試命令；
其中，測試命令開發(fā)單元201具體可以根據(jù)待實現(xiàn)的網絡測試方式的原 逮，開發(fā)指定組織結構的測試套件，在所述測試套件中承載有測試命令。其 中，測試套件的組織結構包括測試腳本、配置腳本、支撐腳本和說明文檔。 所述測試腳本是實現(xiàn)特定攻擊方式測試的有序操:作步驟的集合；所述配置腳 本是提供對測試參數(shù)的配置功能，同時提供對被測設備的預配置和去配置功 能；所述支撐腳本定義了特定攻擊方式測試中的一些公共子過程的命令，該 子過程包括 一個攻擊方式中的某個子過程的有序4喿作集、 一個攻擊交互過 程的某個交互片斷、某個攻擊方式中對報文進行處理的比較復雜的通用算法 過程；由所述測試腳本、配置腳本和支撐腳本中命令的集合構成對被測設備 進行測試的測試命令，共同完成對被測設備的攻擊測試。所述說明文檔包括 該測試套件的操作手冊、攻擊原理、攻擊步驟以及邏輯組網圖等。
同時，測試命令開發(fā)單元201還可以具有對測試命令的調試功能，能夠對 測試命令進行調試，并給出詳細的錯誤提示以及初步的錯誤定位。
所述代理管理單元202，用于連接和釋放測試環(huán)境下的所述代理端102。
其中，當代理管理單元202發(fā)現(xiàn)測試環(huán)境下的代理端102后，可以自動 發(fā)現(xiàn)主控端所在局域網中運行的代理端102并與代理端102建立連接，同時 也可以通過指定地址來發(fā)現(xiàn)任意網絡下的代理端并與代理端建立連接。當準備釋放某個代理端102時，通過發(fā)送點到點的通信報文來實現(xiàn)釋放，此后被 釋放的代理端102還可以重新被其他的主控端使用。
所述測試命令發(fā)送單元203,用于將所述測試命令發(fā)送給所述代理管理單 元202連4妄的代理端102。
所述測試結果接收單元204,用于接收所述代理端102發(fā)送的攻擊測試結果。
其中，測試結果接收單元204接收的攻擊測試結果主要包括代理端102 的CPU利用率，內存使用率信息等。
所述測試結果分析單元205,用于對所述攻擊測試結果進行分析。
其中，當測試結果分析單元205對攻擊測試結果進行分析時，可以將攻 擊測試結果繪制出折線圖、餅形圖、柱形圖等統(tǒng)計圖表，以及各相關攻擊測 試結果間的比較分析圖表，找出系統(tǒng)的性能瓶頸點和攻擊成功點等信息，最 后按照用戶的定值要求自動生成測試報告并以報表的形式顯示分析結果。
除了包括上述的測試命令開發(fā)單元201、代理管理單元202、測試命令發(fā) 送單元203、測試結果接收單元204和測試結果分析單元205之外，所述主控 端101還可以進一步包括測試結果存儲單元206和測試結果處理單元207， 其中，測試結果存儲單元206，用于存儲所述代理端102發(fā)送的攻擊測試結果； 測試結果處理單元207,用于查詢和刪除所述測試結果存儲單元206中的攻擊 測試結果。
或者，所述主控端101還可以進一步包括測試控制單元208,用于向所述 代理端102發(fā)送測試控制命令，由所述測試控制命令控制所述測試命令的執(zhí) 行。
其中，所述測試控制命令包括開始測試、暫停測試、恢復測試和停止 測試，通過上述測試控制命令控制測試命令的執(zhí)行。
需要說明的是，所述主控端101也可以同時包括測試結果存儲單元206、 測試結果處理單元207和測試控制單元208。
請參閱圖3,圖3為本發(fā)明實施例一中代理端的結構圖，所述代理端102 包括測試命令接收單元301、測試命令解析單元302、攻擊測試單元303和 測試結果發(fā)送單元304,其中，測試命令接收單元301 ，用于接收主控端101發(fā)送的測試命令； 測試命令解析單元302,用于將所述測試命令解析為對被測設備的攻擊操
作；
其中，當測試命令開發(fā)單元201根據(jù)待實現(xiàn)的網絡測試方式的原理，開 發(fā)指定組織結構的測試套件，并由測試命令發(fā)送單元203將承載了測試命令 的測試套件發(fā)送給代理端102后，由代理端102的測試命令解析單元302對 測試套件中的測試命令進行解析，得到對被測設備的攻擊操作。
測試命令解析單元302可以是一個可擴展性的命令式語言解釋器，具體 可以為TCL (Tool Command Language,工具命令語言)解釋器，當然，也可 以選用其他解釋器。對于一些TCL不能實現(xiàn)的功能，或者為了提高TCL執(zhí)行 效率，用戶可以方便擴展一些新命令，TCL的C函數(shù)庫有清晰的接口而且便 于使用，用C語言可以方便的對TCL進行擴展。
攻擊測試單元303,用于根據(jù)測試命令解析單元302解析的所述攻擊操作 向被測設備發(fā)送攻擊報文；
測試結果發(fā)送單元304，用于生成攻擊測試結果，并向所述主控端101發(fā) 送攻擊測試結果。
此外，所述代理端102還可以進一步包括測試控制命令接收單元305 和執(zhí)行控制單元306,其中，測試控制命令接收單元305,用于接收主控端101 發(fā)送的測試控制命令；執(zhí)行控制單元306，用于根據(jù)所述測試控制命令控制所 述測試命令的纟丸行。
需要說明的是，所述系統(tǒng)可以支持兩種測試組網模式，如圖4和5所示， 分別為專用組網模式和在線模式。其中，在專用組網模式中，主控端101、代 理端102和被測設備通過交換機或者集線器組成專用測試網絡，網絡設備均 可由測試者控制。在在線模式中，主控端101、代理端102和被測設備分布于 實際Internet環(huán)境中。
通過本實施例，提供了一種網絡攻擊測試的系統(tǒng)，系統(tǒng)中的代理端取代 主控端而向被測設備發(fā)送攻擊報文，當多個代理端同時向被測設備發(fā)送攻擊 報文時，能夠達到足夠的攻擊報文壓力，進而提高了網絡攻擊測試的質量。
此外，當主控端、代理端和被測設備分布于Internet環(huán)境中時，可以由主控端和代理端在線對;故測設備進行測試，從而實現(xiàn)在線測試功能。
同時，基于命令解釋器的測試方式，用戶可以方便添加新的測試命令， 使平臺具有良好的可擴展性。
實施例二
請參閱圖6 ，圖6為本發(fā)明實施二揭示的 一種網絡攻擊測試的方法的流程 圖，該方法包括以下步驟
步驟601:接收主控端發(fā)送的測試命令；
需要說明的是，在接收主控端發(fā)送的測試命令的同時，還可以接收主控 端發(fā)送餓測試控制命令，根據(jù)所述測試控制命令控制所述測試命令的執(zhí)行。 其中，包括根據(jù)測試控制命令控制所述測試命令開始測試、暫停測試、恢 復測試或者停止測試。
步驟602:將所述測試命令解析為對被測設備的攻擊操作； 步驟603:根據(jù)所述攻擊操作向被測設備發(fā)送攻擊報文； 步驟604:將攻擊測試結果發(fā)送給主控端，由所述主控端對所述攻擊測試 結果進行分析。
需要說明的是，當將攻擊測試結果發(fā)送給主控端后，還可以由主控端存 儲所述攻擊測試結果，并對存儲后的攻擊測試結果進行查詢和刪除。
通過本實施例，提供了一種網絡攻擊測試的系統(tǒng)，系統(tǒng)中的代理端取代 主控端而向被測設備發(fā)送攻擊報文，當多個代理端同時向被測設備發(fā)送攻擊 報文時，能夠達到足夠的攻擊報文壓力，進而提高了網絡攻擊測試的質量。
此外，當主控端、代理端和被測設備分布于Internet環(huán)境中時，可以由主 控端和代理端在線對被測設備進行測試，從而實現(xiàn)在線測試功能。
同時，基于命令解釋器的測試方式，用戶可以方便添加新的測試命令， 使平臺具有良好的可擴展性。
程，是可以通過計算機程序來指令相關的硬件來完成，所述的程序可存儲于 一計算機可讀取存儲介質中，該程序在執(zhí)行時，可包括如上述各方法的實施 例的流程。其中，所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-OnlyMemory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。
以上所述僅是本發(fā)明的優(yōu)選實施方式，應當指出，對于本技術領域的普 通技術人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤 飾，這些改進和潤飾也應該視為本發(fā)明的保護范圍。
權利要求
1、一種網絡攻擊測試的系統(tǒng)，其特征在于，所述系統(tǒng)包括主控端和多個代理端，其中，所述主控端，用于創(chuàng)建測試命令，將所述測試命令發(fā)送給所述多個代理端，并對所述代理端發(fā)送的攻擊測試結果進行分析；所述多個代理端，用于接收所述測試命令，根據(jù)所述測試命令向被測設備發(fā)攻擊報文以進行攻擊測試，將攻擊測試結果發(fā)送給所述主控端。
2、 根據(jù)權利要求1所述的方法，其特征在于，所述主控端、代理端和被 測設備通過交換機或者集線器組成專用測試網絡。
3、 根據(jù)權利要求1所述的方法，其特征在于，所述主控端、代理端和被 測設備分布于Internet環(huán)境中。
4、 根據(jù)權利要求1所述的系統(tǒng)，其特征在于，所述主控端包括測試命 令開發(fā)單元、代理管理單元、測試命令發(fā)送單元、測試結果接收單元和測試 結果分析單元，其中，所述測試命令開發(fā)單元，用于根據(jù)待實現(xiàn)的網絡測試方式的原理，開發(fā)與所述^f寺實現(xiàn)的網絡攻擊方式相對應的測試命令；所述代理管理單元，用于連接測試環(huán)境下的所述代理端； 所述測試命令發(fā)送單元，用于將所述測試命令發(fā)送給所述代理管理單元連接的代理端；所述測試結果接收單元，用于接收所述代理端發(fā)送的攻擊測試結果； 所述測試結果分析單元，用于對所述攻擊測試結果進行分析。
5、 才艮據(jù)權利4所述的系統(tǒng)，其特征在于，所述主控端還包括測試結果 存儲單元和測試結果處理單元，其中， -所述測試結果存儲單元，用于存儲所述代理端發(fā)送的攻擊測試結果； 所述測試結果處理單元，用于查詢和刪除所述測試結果存儲單元中的攻 擊測試結果。
6、 根據(jù)權利要求1所述的系統(tǒng)，其特征在于，所述代理端包括測試命 令接收單元、測試命令解析單元、攻擊測試單元和測試結果發(fā)送單元，其中，所述測試命令接收單元，用于接收主控端發(fā)送的測試命令；所述測試命令解析單元，用于將所述測試命令解析為對被測設備的攻擊操作；所述攻擊測試單元，用于根據(jù)所述攻擊操作向被測設備發(fā)送攻擊報文； 所述測試結果發(fā)送單元，用于生成攻擊測試結果，并向所述主控端發(fā)送 所述攻擊測試結果。
7、 根據(jù)權利要求1所述的系統(tǒng)，其特征在于，所述主控端還包括 測試控制單元，用于向所述代理端發(fā)送測試控制命令，由所述測試控制命令控制所述測試命令的執(zhí)行。
8、 根據(jù)權利要求7所述的系統(tǒng)，其特征在于，所述代理端還包括測試 控制命令接收單元和執(zhí)行控制單元，其中，所述測試控制命令接收單元，用于接收主控端發(fā)送的測試控制命令； 所述執(zhí)行控制單元，用于根據(jù)所述測試控制命令控制所述測試命令的執(zhí)行。
9、 一種網絡攻擊測試的方法，其特征在于，所述方法包括 接收主控端發(fā)送的測試命令； 將所述測試命令解析為對被測設備的攻擊操作； 根據(jù)所述攻擊操作向被測設備發(fā)送攻擊報文以進行攻擊測試； 將攻擊測試結果發(fā)送給主控端，由所述主控端對所述攻擊測試結果進行分析。
10、 根據(jù)權利要求9所述的方法，其特征在于，所述方法還包括 接收主控端發(fā)送的測試控制命令； 根據(jù)所述測試控制命令控制所述測試命令的執(zhí)行。
11、 根據(jù)權利要求IO所述的方法，其特征在于，所述根據(jù)測試控制命令 控制所述測試命令的執(zhí)行包括根據(jù)測試控制命令控制所述測試命令開始測試、暫停測試、恢復測試或 者停止測試。
12、 根據(jù)權利要求9所述的方法，其特征在于，所述方法還包括當將攻擊測試結果發(fā)送給主控端后，由主控端存儲所述攻擊測試結果， 并對存儲后的攻擊測試結果進行查詢和刪除。
全文摘要
本發(fā)明實施例公開了一種網絡攻擊測試的方法和系統(tǒng)，其中，該系統(tǒng)包括主控端和多個代理端，主控端用于創(chuàng)建測試命令，將所述測試命令發(fā)送給所述多個代理端，并對所述多個代理端發(fā)送的攻擊測試結果進行分析；代理端用于接收所述測試命令，根據(jù)所述測試命令向被測設備發(fā)攻擊報文，將攻擊測試結果發(fā)送給所述主控端。當多個代理端同時向被測設備發(fā)送攻擊報文時，能夠達到足夠的攻擊報文壓力，進而提高了網絡攻擊測試的質量。
文檔編號H04L12/26GK101488890SQ20091000124
公開日2009年7月22日 申請日期2009年1月14日 優(yōu)先權日2009年1月14日
發(fā)明者顥 周, 飛 宋, 屈玉貴, 昭 李, 章志燮, 袁文波, 趙保華, 陳偉琳 申請人:成都市華為賽門鐵克科技有限公司;中國科學技術大學